【情資案例調查報告】OilRig駭客組織發動TwoFace webshell攻擊,資安防護設備難以檢測_資通安全組 林高裕副主任
一、案例背景說明
OilRig為伊朗的駭客組織(又名APT34) ,2014年起就持續針對中東地區的網路進行威脅活動,其目標包含能源、金融、政府、化工、電信等產業。美國網路安全公司「FireEye」根據基礎設施分析的報告評估推測,該組織被指稱極可能是得到伊朗政府的支持。許多惡意工具也顯示與該組織有所關聯,包括ISMAgent、ISMDoor、ISMInjector 及本次要探討的TwoFace webshell。
二、案例研究說明
TwoFace webshell是利用兩個webshell進行攻擊,分別為TwoFace Loader以及TwoFace Payload,並且皆使用C語言所撰寫,如圖1所示。

圖1:使用C語言撰寫的webshell
(資料來源:Emanueledelucia)
TwoFace Loader的目的是將TwoFace Payload解密後,進行主要的惡意活動,甚至TwoFace Loader還具備隨機更換檔案名稱與變數的功能,這使得資安人員在制定文件檢測規則進行防禦時變得更加困難。進一步檢視TwoFace Loader,其檔案包含一組密鑰及TwoFace Payload,而駭客則利用HTTP request的方式傳送另一組密鑰進行解密,並藉由TwoFace Payload進行攻擊。下圖2即為研究人員所捕獲的TwoFace Loader樣本程式。

圖2: TwoFace Loader樣本
(資料來源:Emanueledelucia)
一旦駭客成功將TwoFace Loader放入伺服器中,便可開始使用TwoFace Payload進行惡意活動。駭客使用HTTP Cookie參數來控制TwoFace Payload,執行多種惡意命令控制受害伺服器,如下圖3所示。

圖3: TwoFace Payloader樣本
(資料來源:Emanueledelucia)
研究人員分析,TwoFace Payload是個功能強大且齊全的webshell,除了能執行多個惡意命令外還具備橫向感染的能力。經統整,TwoFace Payload具備以下六種惡意操作功能:
-
任意命令執行
-
任意程序執行
-
下載文件
-
上傳文件
-
刪除文件
-
操作文件
三、駭客攻擊流程與手法
下圖(圖4)為駭客攻擊流程與方式,攻擊步驟說明如下:
-
各種網路攻擊行為,如:SQLI、XSS、RFI…等
-
植入webshell TwoFace Loader
-
解密webshell TwoFace Payload
-
使用HTTP Cookie參數控制TwoFace Payload
-
執行惡意命令

圖4: APT34駭客組織攻擊流程與方式
(資料來源:本中心分析整理)
四、Indicator of Compromise (IoC)資訊
本章節分享此惡意程式之入侵指標(Indicator of Compromise, IoC)檢測,包含關聯的SHA256入侵指標以利各通傳業者分析情資加強資安防護,詳見表1。
編號 |
SHA256 |
1 |
0748d858a81567984bd21e18164ccc81e9f51e406f74da33f90f09d3d8fb9202 |
2 |
2393c44c3636551474bd4469e0bd2d3f71fcf505c90737607eca54cfba4afea9 |
3 |
3578a541b9c51e2b8727334e6051942c20247bb8cdb5badd00a6bfe033717136 |
4 |
22c4023c8daa57434ef79b838e601d9d72833fec363340536396fe7d08ee2017 |
5 |
525900b31b42ec66bacb47637a967b7b2057f3dd4b4a8cf68cfd5b756cbfdeb8 |
6 |
8bdC80f70118d92a21efeb7eb3a8bed8dbfadb194b80461488b3c216d1cbda83 |
7 |
ed684062f43d34834c4a87fdb68f4536568caf16c34a0ea451e6f25cf1532d51 |
8 |
f4da5cb72246434decb8cf676758da410f6ddc20196dfd484f513aa3b6bc4ac5 |
9 |
9a361019f6fbd4a246b96545868dcb7908c611934c41166b9aa93519504ac813 |
10 |
d0ffd613b1b285b15e2d6c038b0bd4951eb40eb802617cf6eb4f56cda4b023e3 |
11 |
bca01f14fb3cb4cfbe7f240156feebc55abac73a6c96b9f75da2f9df580101ef |
12 |
8d178b9730e09e35c071526bfb91ce72f876797ebc4e81f0bc05e7bb8ad1734e |
13 |
8f0419493da5ba201429503e53c9ccb8f8170ab73141bdc6ae6b9771512ad84b |
14 |
0a77e28e6d0d7bd057167ca8a63da867397f1619a38d5c713027ebb22b784d4f |
15 |
54c8bfa0be1d1419bf0770d49e937b284b52df212df19551576f73653a7d061f |
16 |
818ac924fd8f7bc1b6062a8ef456226a47c4c59d2f9e38eda89fff463253942f |
17 |
fd47825d75e3da3e43dc84f425178d6e834a900d6b2fd850ee1083dbb1e5b113 |
18 |
79c9a2a2b596f8270b32f30f3e03882b00b87102e65de00a325b64d30051da4e |
19 |
e33096ab328949af19c290809819034d196445b8ed0406206e7418ec96f66b68 |
20 |
c116f078a0b9ea25c5fdb2e72914c3446c46f22d9f2b37c582600162ed711b69 |
表1: OilRig駭客組織SHA256入侵指標
(資料來源:本中心分析整理)
五、整體建議與總結
駭客在入侵企業網站時,會透過各種攻擊方式植入webshell,進而獲得企業網站的控制權,常見攻擊方式有:利用網站上傳漏洞植入webshell、SQL Injection、RFI、XSS...等。因此定期修補伺服器漏洞,並確保網站伺服器與內網之間的帳號權限不會相互影響,皆為維護網路安全的重要課題。而TwoFace webshell因為使用雙層架構,在資安設備進行偵測與防禦時較難檢測到。並且這種webshell還具備橫向感染的能力,倘若駭客從伺服器轉向內網進行植入攻擊,後果將相當嚴重。
為避免遭到駭客組織的攻擊,通傳業者可採取以下保護措施,避免系統遭受潛在威脅之攻擊,例如:
-
定期修補網站漏洞,避免駭客利用已知的漏洞進行攻擊。
-
評估報告中之入侵威脅指標(IoCs)並納入防護監控規則,以強化資安防護設備之防禦能力。
-
對上傳程序進行身份認證或以白名單機制管理,並只允許受信任的人使用上傳程序。
-
確認網站伺服器與內網兩邊的帳號不會相互影響,讓駭客有機會利用特殊權限進行攻擊。
-
日常維護要注意是否有來歷不明的文件放在伺服器目錄下。
參考資料:
-
Emanueledelucia,取自: